Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.
Datenschutz ist gleich Einwilligung – das dürfte das hartnäckigste Datenschutz-Missverständnis sein. Das ist keine Überraschung: Selten wird Datenschutz so sichtbar wie bei der Einwilligung in eine Datenverarbeitung; eine Unterschrift, um etwas zu erlauben, ist intuitiv und ohne größere Rechtskenntnis verständlich – und wer als Verantwortliche*r eine Unterschrift einholt, hat das gute Gefühl, sich um den Datenschutz gekümmert zu haben.
Das Problem: Meistens sind Einwilligungen gar nicht nötig, oft schaffen sie neue Probleme, und manchmal sorgen sie sogar für erhebliche Rechtsunsicherheit – und unfair sind sie gelegentlich auch noch. Auch wenn die Einwilligung weit vorne bei den Rechtsgrundlagen steht – eigentlich sollte sie viel eher die letzte Auffangmöglichkeit sein, wenn keine andere Rechtfertigung für eine Datenverarbeitung greift – warum das so ist und wie es besser geht, zeigt dieser Artikel.
WeiterlesenEins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.
Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.
WeiterlesenRückverfolgbarkeit von Gottesdienst-Teilnehmenden ist für die Infektionskettenverfolgung immer noch ein wichtiges Thema – die Lösungen dafür sind vielfältig und realisieren ganz unterschiedliche Datenschutzniveaus: Von der Eintragung in eine fortlaufende, offen einsehbare Liste (ganz schlecht) bis zum Einwurf von individuellen Karten mit Kontaktdaten in geschlossene Behältnisse (sehr gut) ist alles dabei – und auch elektronische Varianten mit Ticketsystemen und Voranmeldungen sind im Einsatz.
So praktisch das ist: Datenschutzrechtlich ist die Umsetzung anspruchsvoll – erst recht, wenn eine Gemeinde ein besonderes Serviceniveau durch die Reservierung von Dauerplätzen oder eine vereinfachte Anmeldung mit hinterlegten Daten anbieten will. Um solche Systeme einigermaßen datenschutzkonform zu betreiben, braucht es einige Überlegungen.
WeiterlesenKirchenbücher sind eine wertvolle Quelle für die Regionalgeschichte und genealogische Forschungen: Taufregister, die teils Jahrhunderte zurückgehen, sind oft die besten und vollständigsten Dokumentationen über ganze Landstriche. Dürfen sie aber auch einfach so genutzt werden – oder schiebt dem der Datenschutz einen Riegel vor?
Die gute Nachricht: Oft spielt Datenschutz gar keine Rolle – wenn die Menschen, auf die sich die Daten beziehen, nicht mehr leben. Zwar steht es nirgends explizit in der DSGVO, dem KDG und dem DSG-EKD, dass die Datenschutzgesetze nicht für Verstorbene gelten. Erwägungsgrund 27 der DSGVO stellt aber unmissverständlich klar: »Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.« Dennoch gibt es einige Regeln für die Nutzung.
WeiterlesenDie DSGVO-Landkarte hat nicht viele weiße Flecken in West- und Mitteleuropa – einer davon ist der Vatikanstaat. In den EWR-Staaten Island, Liechtenstein und Norwegen gilt die Verordnung, für die Schweiz, Andorra, die Färöer und die britischen Kronbesitzungen Guernsey, Jersey und die Isle of Man gibt es Angemessenheitsbeschlüsse der EU-Kommission. (Noch nicht viele weiße Flecke, muss es eigentlich ganz richtig heißen, solange die Folgen des Brexit nicht absehbar sind.)
Drittland mit allen Folgen und ohne Ausweg sind nur drei souveräne Staaten: Monaco, San Marino – und eben der Vatikan. Mitten in Rom gibt es ein paar Quadratmeter (scheinbar) DSGVO-freien Raum. Was im Staat der Vatikanstadt an Datenschutz gilt, ist gar nicht so einfach herauszufinden. Die im Netz verfügbare Gesetzessammlung des Vatikanstaats jedenfalls nennt kein Datenschutz-Gesetz.
WeiterlesenMessenger waren lange das Aufregerthema im kirchlichen Datenschutz: Meldungen über Komplettverbote von Messenger-Diensten wie aus dem Erzbistum Berlin oder auch nur explizite Verbote der Nutzung von WhatsApp haben 2018 für Empörung gesorgt (BDKJ Freiburg: »#whatsappthefuck!«).
Mittlerweile hat sich die Aufregung gelegt; WhatsApp bleibt verboten (und wohl trotzdem genutzt), unterschiedliche Bistümer haben verschiedene präferierte Messenger (z. B. Threema in Freiburg und Wire in Berlin). Weitgehend unbemerkt hat das Bistum Würzburg bereits im Februar eine Dienstanweisung zur Nutzung von Messengern im Amtsblatt veröffentlicht (Jg. 166/Nr. 02 vom 20. Februar 2020, S. 42f.). Dort wird vieles wie anderswo geregelt (grundsätzliches Verbot, Bistum erlaubt explizit Dienste und eventuelle Ausnahmen). Zusätzlich gibt es aber eine nützliche Regelung, die es so (meines Wissens) bisher nirgends gibt: Eine explizite Regelung für Broadcast-Listen, die damit WhatsApp immerhin ein wenig möglich macht.
WeiterlesenTeil 3 der dreiteiligen Serie: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.
Warum sollte ich genau das wissen? Das Datenschutzrecht gibt Betroffenen eine Reihe von zum Teil sehr mächtigen Instrumenten an die Hand, um die eigene informationelle Selbstbestimmung zu ermöglichen. Nur wer die Rechte kennt, kann sie ausüben.
Teil 2 der dreiteiligen Serie: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.
Warum sollte ich genau das wissen? Das Verbot mit Erlaubnisvorbehalt ist das Grundprinzip des Datenschutzrechts. Wer weiß, auf welcher Rechtsgrundlage Daten verarbeitet werden dürfen, kann einschätzen, was erlaubt ist und wie man die eigenen Rechte durchsetzt.
Beim Barcamp Bonn habe ich am Freitag eine Session mit einer Einführung ins Datenschutzrecht angeboten: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.
DSGVO in 45 Minuten, inklusive Fragen – da muss man sich auf den Kern konzentrieren.
Dazu habe ich ein sehr weites Feld auf drei Punkte heruntergebrochen, die ich hier im Blog in einer kleinen Serie vorstelle – einschließlich der Besonderheiten im kirchlichen Datenschutzrecht. Die Folien der Session gibt es hier zum Download (pdf).
Warum sollte ich genau das wissen? Nur wenn klar ist, was personenbezogene Daten sind, weiß ich, womit sich Datenschutz überhaupt beschäftigt. Die Grundsätze für den Umgang mit personenbezogenen Daten sind verständliche Richtlnien, um auch im Alltag achtsam und respektvoll mit den Daten anderer Menschen umzugehen.
